2024-03-29T04:23:41Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:000105612022-10-21T05:24:51Z00581:00625:00630
ネットワークワーム動作検証システムの提案Proposal for the Experimental Environment for Network Worm Infectionjpn特集:多様な社会的責任を担うコンピュータセキュリティ技術http://id.nii.ac.jp/1001/00010561/Journal Articlehttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=10561&item_no=1&attribute_id=1&file_no=1Copyright (c) 2005 by the Information Processing Society of Japanネットワークセキュリティ株式会社日立製作所システム開発研究所,慶應義塾大学大学院理工学研究科慶應義塾大学大学院理工学研究科慶應義塾大学大学院理工学研究科,中央大学大学院理工学研究科寺田, 真敏高田, 眞吾土居, 範久ワームに実装された感染先探索アルゴリズムにバグがあった場合やワームが実際に使用する乱数生成ルーチンに偏りがある場合には,感染先探索に偏りが出てくる可能性がある.すなわち,感染拡大流布の傾向が変わってきてしまう可能性が潜在的に存在している.このため,実測データに基づく探索特性の検証はコード解析を補完する情報として重要であると考えられるが,公開された実測データはほとんどないのが実情である.また,ネットワークワームの感染拡大を防ぐにあたっては,組織外部の情報に頼りきってしまうのではなく,各組織単独で対策立案のための情報収集手段,たとえば感染動作を検証する実機環境などを保有することは早期対応ならびに情報収集のバックアップという点からも重要である.本論文では,ネットワークワーム流布時の対策立案への利用をふまえ,コード解析の補完と探索範囲に関する動作知見の収集を目的とした「ネットワークワームの探索IP アドレス」の検証システムと,感染動作にともない使用するポート番号に関する動作知見の収集を目的とした「ネットワークワームの感染動作」の検証システムを提案するとともに,実験を通して提案する検証システムの有効性を示す.Code analysis and simulation of network worm infection are useful methods to evaluate how it spreads and its effects. But a bug in infection algorithm or the way of implementing a random number generator etc. affects the retrieval behavior of network worm infection. Then it is important to evaluate the retrieval behavior of network worm infection in experimental environment for complementing the code analysis. And there is no actual, measured data on network worm infection for public use. Moreover; to prevent network worm infection, an organization should not rely solely on the outside information and should have an information gathering method of its own, such as experimental environment to evaluate network worm infection, to plan countermeasures. This paper describes a prototype of experimental environment for network worm infection and actual data about network worm infection. The purpose of experimental environment is to investigate retrieval behavior and infection mechanisms in network worm behavior. Forexample, there are a mapping of retrieved IP addresses and a ratio of IP addresses retrieved and port numbers used by network worms. Also we implemented a prototype system to show the validity of our approach.AN00116647情報処理学会論文誌468201420242005-08-151882-77642009-06-29